專家傳真-影子IT使企業資安挑戰加劇

影子IT雖爲資安風險控管時的一大挑戰,但過去幾年臺灣企業積極擁抱數位科技,大幅採用數位化程式或設備來提升工作效率,企業已無法全面防堵或杜絕影子IT的出現,所以更應積極正視影子IT所帶來的影響和衝擊,第一步便是改變IT人員對於資安威脅來自外部攻擊的舊思維,同時建立IT人員對於企業內部資安風險的意識。另外,企業也需全面導入資安教育課程,不分部門與階級,從高階領導者至基層員工,灌輸正確的資安觀念,更讓員工瞭解影子IT的風險,建立完善的資安防禦危機意識,並正視網路安全對企業發展的重要性,與企業IT共同守護企業網路安全。

爲了降低影子IT所帶來的風險,除了全面建立資安思維外,企業也須提升企業網路環境的可視性與可控性,藉由快速偵測網路或應用中異常、威脅、感染的用戶和設備,提高網路威脅的可視性,辨識並過濾員工放到網路上的「隱藏」應用程式,透明化潛在的內部威脅,提高企業IT對影子IT的掌握度。

另外,藉由制定企業資安政策來規範應用程式,企業可提高網路環境的可控性,將資料限制在一定的存取範圍內,加強終端設備和使用者存取的控制力,讓員工的使用行爲能與公司的資安政策保持一致,防止機密資訊上傳和不當的資訊共享,降低資訊泄露的風險。

以公有云爲例,因爲員工使用公有云的比例提升,讓企業暴露於資訊泄漏的風險中,然而透過評估分析,企業可得知員工使用的應用程式,並辨識其運行的網路環境,進而掌握並控管企業內部潛在威脅,降低網路風險,實現真正安全的運作模式,減少影子IT趨勢下企業遭受影響的程度。

數位浪潮下,影子IT日益增加對企業來說是一種警訊,代表現存的IT架構已無法滿足企業業務的需求;爲降低影子IT造成的資安風險,企業除了從根本全面建立資安防禦意識,讓員工將企業網路安全當作自身的責任,也應該調整企業IT資安的策略,提高網路環境的可視性和可控性;長遠地來看,企業還是應該評估現有和未來業務的需求,全面調整IT資安架構,打造安全的環境,讓數位化工具成爲企業的助力而非阻力。